Présentation des concepts AD FS clés
Nous vous recommandons d’étudier les concepts importants des services de fédération Active Directory (AD FS) et de vous familiariser avec leurs fonctionnalités.
Conseil
Vous trouverez d’autres liens vers des ressources AD FS dans Comprendre les concepts AD FS clés.
Terminologie AD FS utilisée dans ce guide
| Terme AD FS | Définition |
|---|---|
| Organisation partenaire de compte | Organisation partenaire de fédération représentée par une approbation de fournisseur de revendications dans le service de fédération. L'organisation partenaire de compte contient les utilisateurs qui accèdent aux applications web dans le partenaire de ressource. |
| Serveur de fédération de comptes | Serveur de fédération dans l'organisation partenaire de compte. Le serveur de fédération de comptes émet des jetons de sécurité pour les utilisateurs en fonction de l'authentification utilisateur. Le serveur authentifie l'utilisateur, extrait du magasin d'attributs les informations d'appartenance de groupe et les attributs appropriés, rassemble ces informations en revendications, puis génère et signe un jeton de sécurité (qui contient les revendications) à retourner à l'utilisateur, qui s'en servira dans sa propre organisation, ou à envoyer à une organisation partenaire. |
| Base de données de configuration AD FS | Base de données dans laquelle sont stockées toutes les données de configuration qui représentent une instance AD FS ou un service de fédération spécifique. Ces données de configuration peuvent être stockées dans une base de données SQL Server ou au moyen de la base de données interne Windows incluse dans Windows Server 2016, Windows Server 2012 et 2012 R2, et Windows Server 2008 et 2008 R2. Vous pouvez créer la base de données de configuration AD FS à l’aide de l’outil en ligne de commande Fsconfig.exe (dans le cas de SQL Server) et de l’Assistant Configuration du serveur de fédération des Services ADFS (dans le cas de la base de données interne Windows). |
| Fournisseur de revendications | Organisation qui fournit les revendications à ses utilisateurs. Consultez « Organisation partenaire de compte ». |
| Approbation de fournisseur de revendications | Dans le composant logiciel enfichable de gestion AD FS, les approbations de fournisseur de revendications sont des objets d’approbation généralement créés dans des organisations partenaires de ressource pour représenter, dans la relation d’approbation, l’organisation dont les comptes accèdent aux ressources de l’organisation partenaire de ressource. Un objet d'approbation de fournisseur de revendications se compose d'un ensemble d'identificateurs, de noms et de règles qui identifient ce partenaire auprès du service de fédération local. |
| Approbation de fournisseur de revendications local | Objet d’approbation qui représente les services AD LDS ou des annuaires LDAP tiers dans une batterie de serveurs AD FS. Un objet d’approbation de fournisseur de revendications se compose d’un ensemble d’identificateurs, de noms et de règles qui identifient cet annuaire LDAP auprès du service de fédération local. |
| Métadonnées de fédération | Format de données utilisé pour la communication des informations de configuration entre un fournisseur de revendications et une partie de confiance pour faciliter la configuration des approbations de fournisseur de revendications et des approbations de partie de confiance. Le format de données est défini dans SAML 2.0 (Security Assertion Markup Language) et étendu dans WS-Federation. |
| Serveur de fédération | Un Windows Server qui a été configuré à l’aide de l’Assistant Configuration du serveur de fédération AD FS en tant que rôle de serveur de fédération. Un serveur de fédération émet des jetons et agit dans le cadre d'un service de fédération. |
| Serveur proxy de fédération | Un Windows Server qui a été configuré à l’aide de l’Assistant Configuration du serveur proxy de fédération AD FS en tant que service proxy intermédiaire entre un client Internet et un service de fédération qui se trouve derrière un pare-feu sur un réseau d’entreprise. |
| Serveur de fédération principal | Un Windows Server qui a été configuré en tant que rôle de serveur de fédération à l’aide de l’Assistant Configuration du serveur de fédération AD FS et qui possède une copie en lecture/écriture de la base de données de configuration AD FS. Le serveur de fédération principal est créé quand vous utilisez l’Assistant Configuration du serveur de fédération AD FS et que vous sélectionnez l’option permettant de créer un service de fédération et de faire de cet ordinateur le premier serveur de fédération dans la batterie. Tous les autres serveurs de fédération de cette batterie doivent répliquer les modifications apportées sur le serveur de fédération principal vers une copie en lecture seule de la base de données de configuration AD FS qui est stockée localement. Le terme « serveur de fédération principal » ne s'applique pas quand la base de données de configuration AD FS est stockée dans une base de données SQL, car tous les serveurs de fédération bénéficient du même accès en lecture et écriture à une base de données de configuration stockée sur un serveur SQL Server. |
| Partie de confiance | Organisation qui reçoit et traite les revendications. Consultez « Organisation partenaire de ressource ». |
| Approbation de partie de confiance | Dans le composant logiciel enfichable de gestion AD FS, les approbations de partie de confiance sont des objets d’approbation généralement créés dans les : - Organisations partenaires de compte pour représenter, dans la relation d'approbation, l'organisation dont les comptes accèdent aux ressources de l'organisation partenaire de ressource. Un objet d'approbation de partie de confiance se compose d'un ensemble d'identificateurs, de noms et de règles qui identifient ce partenaire ou cette application web auprès du service de fédération local. |
| Serveur de fédération de ressources | Serveur de fédération dans l'organisation partenaire de ressource. En règle générale, le serveur de fédération de ressources émet des jetons de sécurité pour les utilisateurs en fonction d'un jeton de sécurité émis par un serveur de fédération de comptes. Le serveur reçoit le jeton de sécurité, vérifie la signature, applique une logique de règle de revendication aux revendications désassemblées pour créer les revendications sortantes souhaitées, génère un nouveau jeton de sécurité (comportant les revendications sortantes) en fonction des informations contenues dans le jeton de sécurité entrant et signe le nouveau jeton à retourner à l'utilisateur, puis finalement à l'application web. |
| Organisation partenaire de ressource | Partenaire de fédération représenté par une approbation de partie de confiance dans le service de fédération. Le partenaire de ressource émet un jeton de sécurité basé sur des revendications qui contient des applications web publiées accessibles aux utilisateurs du partenaire de compte. |
Vue d'ensemble d'AD FS
Les Services ADFS constituent une solution d’accès basé sur l’identité qui permet aux ordinateurs clients (internes ou externes à votre réseau) d’accéder via Internet, au moyen d’une authentification unique transparente, aux applications ou services protégés, même si les comptes d’utilisateur et les applications se trouvent dans des réseaux ou organisations complètement différents.
En règle générale, quand une application ou un service se trouve sur un réseau et qu'un compte d'utilisateur se trouve sur un autre réseau, l'utilisateur est invité à indiquer des informations d'identification secondaires pour accéder à l'application ou au service. Ces informations d'identification secondaires représentent l'identité de l'utilisateur dans le domaine qui abrite l'application ou le service. Le serveur web qui héberge l'application ou le service se sert généralement de ces informations pour prendre la décision la plus appropriée en matière d'autorisation.
Grâce à AD FS, les organisations peuvent contourner les demandes d’informations d’identification secondaires en fournissant des relations d’approbation (approbations de fédération) qui leur permettent de partager l’identité numérique et les droits d’accès d’un utilisateur avec les partenaires approuvés. Dans cet environnement fédéré, chaque organisation continue de gérer ses propres identités, tout en pouvant mutuellement partager des identités avec d'autres organisations de manière sécurisée.